欧盟网络安全局: 车辆互联网安全规范

近年来，智能互联汽车的安全问题日益突出，攻击事件频发。2015年，两名安全人员成功演示了车载信息娱乐系统的远程入侵，实现完全控制，这引发了广泛关注。车辆安全与人身安全紧密相关，因此必须确保安悄圆敏全问题得到有效解决，否则将无法上路。为应对这一挑战，欧盟网络安全局（ENISA）于2019年11月发布了一份综合报告，旨在评估智能汽车的威胁、风险和攻击场景，同时确定车辆互联网和自动驾驶汽车生态系统的主要资产和威胁，并提出解决安全问题的可行方法。这份报告还旨在促进国际合作，通过立法、标准和政策建议来提升行业整体安全水平。报告中，资产和威胁分类成为关键部分。针对智能汽车的功能和相关风险，进行了细致的资产分类，特别是那些直接影响乘客安全的功能。由于涉及多种传感器、计算、通信和自动驾驶设备，以及它们之间的复杂交互，攻击者可能将攻击目标扩大至整个生态系统，包括远程服务器等后端系统。因此，威胁类别涵盖了车载网络安全、法律事务、物理攻击、组件故障、后端系统停机、滥用、意外损坏等。报告还详细描述了威胁与受威胁资产之间的关系，列举了各种攻击情形，并分析了其影响和严重性。针对这一问题，报告提出了一系列安全措施，包括安全域、安全实践、威胁组和参考建议，旨在从策略、组织实践和技术实践三个维度全面应启枝对安全挑战。缓解威胁的措施主要分为三类：策略、组织实践和技术实践。策略类措施侧重于确保组织内部的网络安全准备，包含设计安全性、隐私设计、评估管理以及威胁和风险管理等。组织和治理实践则关注供应商关系、培训和意识、安全管理以及事件管理。技腔弊术安全措施包括入侵检测系统的部署、数据检查、网络日志和审核、取证准备等，以及对网络和协议保护、软件安全性、云安全性、密码、访问控制和自我保护与网络弹性等关键领域的关注。报告总结，ENISA的这份报告已成为智能汽车领域的权威参考之一，有效促进了汽车和网络安全行业之间的合作，以共同应对未来的风险和挑战。行业需持续关注并采纳报告中的建议，以提升车辆互联网和自动驾驶汽车的安全水平。